macOS’te kötü amaçlı yazılımlara karşı koruma
Apple, kötü amaçlı yazılımı hızlı bir şekilde belirlemek ve engellemek için bir tehdit verileri toplama işlemi kullanır.
Üç savunma katmanı
Kötü amaçlı yazılım korumaları üç katmanda yapılandırılır:
1. Kötü amaçlı yazılımların başlatılmasını veya çalıştırılmasını engelleme: App Store ya da Gatekeeper ile birleştirilmiş Onaylama
2. Kötü amaçlı yazılımların kullanıcı sistemlerinde çalışmasını engelleme: Gatekeeper, Onaylama ve XProtect
3. Çalıştırılan kötü amaçlı yazılımları düzeltme: XProtect
İlk savunma katmanı, kötü amaçlı yazılımların yayılmasını önlemek ve bir kez bile olsa çalışmasını engellemek için tasarlanmıştır. App Store’un ve Gatekeeper ile birleştirilmiş Onaylama’nın hedefi budur.
Bir sonraki savunma katmanı, herhangi bir Mac’te kötü amaçlı bir yazılım görünürse bu yazılımın hem yayılmasını durdurmak hem de ulaştığı Mac sistemlerini düzeltmek için hızlı bir şekilde belirlenip engellenmesini sağlamaktır. XProtect, Gatekeeper ve Onaylama ile birlikte bu savunmayı güçlendirir.
Son olarak, çalışmayı başaran kötü amaçlı yazılımları düzeltmek için XProtect harekete geçer.
Aşağıda daha detaylı açıklandığı şekilde, bu korumalar virüslerden ve kötü amaçlı yazılımlardan en iyi şekilde korunma uygulamalarını desteklemek için birlikte kullanılır. Özellikle Apple Silicon yongalı bir Mac’te çalışmayı başaran kötü amaçlı yazılımların vereceği olası hasarı sınırlamak için ek korumalar da vardır. macOS’in kullanıcı verilerini kötü amaçlı yazılımlardan koruma yolları için Kullanıcı verilerine uygulama erişimini koruma konusuna, macOS’in kötü amaçlı yazılımların sistemde gerçekleştirebileceği eylemleri sınırlama yolları için İşletim sistemi bütünlüğü konusuna bakın.
Onaylama
Onaylama, Apple tarafından sunulan bir kötü amaçlı yazılım tarama servisidir. macOS uygulamalarını App Store dışında dağıtmak isteyen geliştiriciler, dağıtım işleminin bir parçası olarak uygulamalarını tarama için gönderir. Apple, bu yazılımda bilinen kötü amaçlı yazılım olup olmadığını tarar ve hiçbir kötü amaçlı yazılım bulunmazsa bir Onaylama bileti yayımlar. Geliştiriciler genellikle bu bileti uygulamalarına iliştirirler, böylece Gatekeeper, çevrimdışıyken bile uygulamayı doğrulayıp başlatabilir.
Apple, daha önce onaylanmış olsalar bile kötü amaçlı yazılım içerdiği bilinen uygulamalar için iptal bileti de yayımlayabilir. macOS, Gatekeeper’ın en son bilgilere sahip olması ve bu tür dosyaların başlatılmasını engelleyebilmesi için yeni iptal bileti olup olmadığını düzenli olarak denetler. Arka planda güncellemeler, yeni XProtect imzalarını ileten arka plan güncellemelerinden bile daha sık gerçekleştirildiği için bu işlem, kötü amaçlı yazılım içeren uygulamaları çok hızlı bir şekilde engelleyebilir. Ayrıca, bu koruma hem daha önce onaylanmış uygulamalara hem de onaylanmamış olanlara uygulanabilir.
XProtect
macOS, imza tabanlı kötü amaçlı yazılım algılama ve silme için XProtect adlı yerleşik bir virüsten koruma teknolojisi içerir. Bu sistem, Apple’ın düzenli olarak güncellediği YARA imzalarını (kötü amaçlı yazılımların imza tabanlı algılanma işlemini yürüten bir araç) kullanır. Apple, yeni bir kötü amaçlı yazılım etkilenmesi ve zorlaması olup olmadığını izler ve Mac’in kötü amaçlı yazılım etkilenmelerine karşı savunmasına yardımcı olmak için imzaları otomatik (sistem güncellemelerinden bağımsız olarak) günceller. XProtect, bilinen kötü amaçlı yazılımların çalıştırılmasını otomatik olarak algılar ve engeller. macOS 10.15 veya daha yenisinde XProtect, şu durumlarda bilinen kötü amaçlı yazılım olup olmadığını denetler:
Uygulama ilk kez başlatıldığında
Uygulama değiştirildiğinde (dosya sisteminde)
XProtect imzaları güncellendiğinde
XProtect bilinen kötü amaçlı bir yazılım algılarsa yazılım engellenir ve kullanıcı haberdar edilip yazılımı Çöp Sepeti’ne taşıma seçeneği sunulur.
Not: Onaylama, bilinen dosyalara (veya dosya özetlerine) karşı etkilidir ve daha önce başlatılmış uygulamalarda kullanılabilir. XProtect’in imza tabanlı kuralları belirli bir dosya özetinden daha genel olduğu için Apple’ın görmediği varyantları da bulabilir. XProtect, yalnızca değiştirilmiş uygulamaları ya da ilk başlatmadaki uygulamaları tarar.
Mac’inize kötü amaçlı yazılım girerse XProtect, bu etkilenmeleri düzeltme teknolojisini de içerir. Örneğin, (sistem veri dosyalarının otomatik güncellemelerinin ve güvenlik güncellemelerinin bir parçası olarak) Apple’dan otomatik olarak iletilen güncellemeleri baz alan etkilenmeleri düzelten bir motor içerir. Güncellenen bilgileri almanın üzerine kötü amaçlı yazılımı da siler ve etkilenmeleri düzenli olarak denetlemeyi sürdürür. XProtect, Mac’i otomatik olarak yeniden başlatmaz.
Otomatik XProtect güvenlik güncellemeleri
Apple, mevcut en son tehdit verilerine göre XProtect ile ilgili güncellemeleri otomatik olarak yayımlar. macOS saptanmış olarak bu güncellemeleri her gün denetler. CloudKit eşzamanlaması kullanılarak dağıtılan Onaylama güncellemeleri çok daha sık gerçekleştirilir.
Yeni kötü amaçlı yazılım keşfedildiğinde Apple nasıl yanıt verir?
Yeni bir kötü amaçlı yazılım bulunduğunda birçok adım gerçekleştirilebilir:
İlişkili geliştirici kimliği sertifikaları iptal edilir.
Onaylama iptal biletleri tüm dosyalar (uygulamalar ve ilişkili dosyalar) için yayımlanır.
XProtect imzaları geliştirilir ve yayımlanır.
Bu imzalar daha önce onaylanmış yazılımlara da geriye dönük olarak uygulanır ve yeni herhangi bir saptama, bir veya daha fazla geçmiş işlemin gerçekleştirilmesiyle sonuçlanabilir.
Sonuç olarak, kötü amaçlı bir yazılımın saptanmasını takiben sonraki saniyeler, saatler ve günler içinde Mac kullanıcılarına olabilecek en iyi korumayı sunmak üzere bir dizi adım başlatılır.